Authy 해킹, 데스크탑 앱 종료: MFA(2FA) OTP 대체 선택지 추천

가장 안전한 OTP 무엇일까?

갑자기 2차인증 OTP 앱 관련 글을 적게 된 이유는 제가 사용하는 Authy 해킹 관련 이슈가 떴기 때문입니다. 다행히도 7500만 명 중 ’93명’만 해킹의 영향을 받았다고 합니다. 하지만 가장 유명한 OTP 앱 회사가 당했기에 여파는 적지 않습니다. 보안 앱이라 작은 이슈에도 불안감은 커질 수 있거든요.

어떻게 해킹당했나?

다행히도 보안 시스템이 취약해서 생긴 문제는 아니고, 직원 중 하나가 피싱을 당했다고 합니다. 언제나 보안의 처음과 끝은 사람이네요.

Authy는 그만 써야 하나요?

우선 멀티 디바이스 기능만 끄시는 것을 추천하고 있습니다.

저 또한 그동안 Authy를 추천했고(읽기) 지금도 Authy를 계속 사용하고 있습니다. 지금 당장 이만한게 없거든요.. 편의성 부분이 큽니다. 보안을 향상시키려면 어쩔 수 없이 불편함이 따라야하는데.. 윈도우, Mac, 안드로이드 3개 운영체제를 다 같이 사용하다보니 크로스플랫폼 앱 중 최대한 규모가 크고 믿을 수 있는 곳을 선택하면 Authy..

였는데..

Authy 데스크톱 앱 종료로 사용이 불편해져서 저는 달느 것으로 옮깁니다.

추천하는 MFA OTP 리스트

다행히도 좋은 앱들이 있습니다. 다만 각 운영체제별로 따로 있어서 각자 환경에 맞게 골라서 사용하시면 되겠습니다.

MFA 2FA 무슨 차이인가?

초보분들은 이 부분이 궁금하실 수 있어서 간단하게 설명드리고 갈게요. MFA는 Multi-Factor Authentication의 약자 입니다. 다중 인증이라는 뜻이에요. 2FA는 Two-Factor Authentication 즉 이중 인증 입니다. 비밀번호에 한가지가 더 추가되는 건데요. 보통 OTP아니면 SMS(문자)가 많이 사용됩니다.

안드로이드 OTP : Aegis Authenticator

웹사이트 : https://getaegis.app/

오픈소스라는 큰 장점을 가지고 있고, Play스토어 뿐 아니라 F-Droid에서도 받을 수 있습니다. 단점은 로컬 저장이라(오히려 Authy 사건을 보면 오프라인 저장은 큰 장점이기도 합니다.) 동기화가 안되어 동시에 여러 기기에서 사용할 수 없습니다. 백업/복구, 생체인식 등 대부분의 기능이 있고 깃헙 Stars도 3.8K나 되고 업데이트도 좋습니다. 안드로이드 전용인게 너무 아쉽습니다.

MacOS/iOS 애플기기용 OTP : Raivo OTP

제가 아이폰 유저였다면 Raivo OTP를 사용했을 것 입니다. 폰이야 항상 들고다니니 윈도우는 안깔아도 되고 맥OS 앱도 있어 맥북을 쓰는 저에게 딱 좋을뻔 했습니다.

기능, 업데이트, 디자인 모두 좋고 거기다 오픈소스입니다. 하지만 저는.. 갤럭시의 통화녹음, 삼성페이 및 원핸드오퍼레이션 등 편의 기능에서 빠져나갈수가 없군요. ㅜㅜ 혹시 Authy에서 Raivo로 마이그레이션을 하고싶으신 분들은 메뉴얼을 참고해주세요.

그리고 애플 자체 OTP 기능이 있습니다. 혹시 사파리만 사용하신다면 추천드립니다. 생체인식으로 자동 입력도 가능해 매우 편하지만 사파리에서만 가능합니다. 수동으로 보려면 설정에서 몇단계를 더 들어가야해서 번거롭습니다.

(추가) 안드로이드 + 아이폰 동시 지원 앱

iOS에서 되면 macOS에서도 설치되겠죠? 2FAS라고 오픈소스, EE2E, 매우 깔끔한 인터페이스 거기다 브라우저 확장프로그램까지 갖춘 앱이 나왔습니다.

윈도우 유저를 위한 OTP

아.. 여기서 좀 거지같습니다. Authy를 빼면 Microsoft거 말고는 쓸만한게 별로 없었는데, 위에 말씀드린 2FAS는 웹 브라우저 익스텐션을 제공합니다. 이것으로 윈도우,맥,리눅스에서 사용이 가능하겠어요. Bitwarden 유료 사용자나 셀프 호스팅 사용자는 내장기능을 쓰셔도 좋습니다.

그 외 OTP 앱

  • Google Authenticator : 구글 OTP 인증기는 그냥 쓰지마세요.. 보안 취약점도 지적된 적이 있고 백업/복원 문제 때문에 화나서 Authy로 옮긴분들이 상당히 많습니다.
  • andOTP : 안드로이드 OTP 앱 중에서 가장 유명한 대체 앱 중 하나 입니다. 하지만 개발자가 개발을 공식적으로 끝냈기 떄문에 더이상 추천드리기는 어렵습니다. andOTP Github에 가면 ‘This repository has been archived by the owner. It is now read-only.’라고 나와있습니다. 공식입장은 XDA에 올렸네요.
  • Microsoft Authenticator : 구글아니 마이크로소프트거 쓸거면 차라리 Authy가 훨씬 낫습니다. MFA 앱 중 마소나 구글 같은 글로벌 대기업의 것이 별로 유명하지 않은건 이유가 있어요.
  • FreeOTP+ : Aegis 다음으로 추천하는 안드로이드 OTP 어플 입니다. Github에 소스도 공개 되어있구요.
  • 2FA Authenticator(2FAS) : 안드로이드/iOS 두개 플랫폼 앱만 제공합니다. 동기화도 지원하지만 윈도우 앱이 없네요. 완성도는 꽤 좋습니다. 생체 인식 등 다양한 편의 기능도 제공하고 홈페이지를 보면 꽤 자신있어 보입니다. https://2fas.com
  • DUO – 듀오는 평이 좀 많이 안좋습니다. 플레이스토어 들어가보시면 평점 2.9에 최근 평들이 상당히 좋지 않은것을 볼 수 있습니다.
  • LastPass Authenticator : 라스트패스도 얼마전 해킹 사건이..
  • Yubico Authenticator : 비싼 Yubikey가 있어야 합니다. 물리적 보안이고 보안 자체는 최고 수준이나 물리키를 잃어버리면.. 난리나서 두개를 사야합니다.

결론은? OTP 뭐가 짱이냐?

  • 난 누가 뭐래도 가장 안전하게 쓰고 싶다.
    • 클라우드 백업 및 동기화 기능이 없는 로컬 전용 OTP 사용
    • Yubikey 사서 비싸고 불편한 방법이 가장 안전
  • 저 처럼 윈도우,안드로이드,MacOS 다중 플랫폼을 일상에서 모두 사용중이다 : Authy는 이제 그만 추천하고 폰과 컴퓨터 다 쓰려면 2FAS가 그나마 현재로선 가장 괜찮은 옵션으로 보입니다.
  • [2024년 7월 26일 업데이트 – [새로운 OTP 소개] 글로 이동해주세요!!!

인터넷 사생활, 네트워크 보안을 위한 VPN은 메뉴에서 리뷰 모음을 봐주세요. 윈도우, 맥 소프트웨어 정보도 있습니다.

16 Comments

  1. 얼마전 구글opt 사용중이였는데 해킹되어 주멕스 코인계정 털렸습니다. 구글opt가 보안을 위해서 등록하라고 되어있는데 오히려 구글 해킹되니 otp지갑을 열고있는거나 마찮가지더라고요…완전 쓰레기입니다.
    만약 구글 해킹되도 어씨같은 경우는 연동되는 것이 없으니 문제없는거겠죠??

    1. 으아.. 코인 계정이 털리셨다니 ㅜㅜ 피해는 크지 않으셨나요? OTP를 좀 더 안전하게 사용하시려면 스마트폰 내에서만 작동하는 오픈소스 앱을 사용하시는 것도 매우 훌륭한 옵션입니다.

  2. authy 데스크톱이 3월 19일날 서비스 중지한다고 나왔는데 대체할게 없을까요 ㅠㅠ

    1. 저는 패스워드와 OTP같이 관리할 수 있는 bitwarden 유료버전을 나스에 무료로 사용할 수 있는 vaultwarden을 사용중인데요. 나스가 없는 분들에게는 비용과 상당한 귀찮음이 따르는 방법이라 추천하기는 어렵구요. 현재로선 스마트폰 앱으로 써야할 것 같습니다. 모든 운영체제에서 사용가능하고 동기화 기능도 있는 OTP 앱이 마땅한게 없네요 ㅠㅠ

  3. net x hack님은 비밀번호를 복잡하게 설정한 후 비밀번호 관리 앱에 저장하고, 추가로 2단계 인증(otp)까지 사용하시는 건가요?

    1. 넵! OTP는 필수 필수 필수 입니다.ㅎㅎ OTP를 지원하는 앱과 사이트라면 모두 해놓으세요!

  4. 다른 글에서도 폭풍 질문했는데… (질문 너무 많아서 죄송해요ㅠㅠㅠㅠ)
    또 여쭤보고 싶은게 생겨서 댓글 드려요.

    이 글에선 편리성 때문에 어쩔 수 없이 계속 authy 사용중이시고,
    authy에서 다시 안전하다는 공지가 올라오길 기다리고 계신다고 하셨는데…
    이것과 관련해서 현재 상황이 좀 궁금해요.
    저 때 이후로 authy에서 제대로 공지가 올라왔었나요?

    그리고 혹시 아직도 멀티 디바이스 기능 끄고 authy 사용하세요?

    authy 사이트도 들어가봤는데…
    역시 제가 이런 쪽으로 문외한이라 그런건지 원하는 정보를 못 찾겠어요ㅠㅠㅠㅠ

    저도 윈도우, ios 둘 다 사용할 수 있는 걸로 사용하고 싶은데… 그럼 authy 쓰는 게 답이겠죠?
    (혹시 그 사이에 다른 대체제가 생겼을까 해서 여쭤봐욯ㅎㅎㅎ)

    1. 그 이후로 별다른 일도 문제도 없습니다. 저는 여전히 사용중이구요. 멀티 디바이스 기능도 저는 그냥 켜놨습니다. ㅎㅎ 다른 댓글보니 아이폰 유저이신거같은데, raivo 추천드리고 싶지만.. 윈도우까지 멀티 플랫폼 사용하실거면 authy가 맞고, 불안하시면 각각 따로따로 오프라인 otp를 쓰셔도 좋습니다 조금 귀찮긴 하지만 더 추가할 계정이 없다면 이 방법도 좋죠.

      질문 많이하셔도 됩니다 미안해 하지마세요^^. 다만 제가 정신없고 바쁠때는 댓글이 좀 늦을 수 있습니다. 씹고 넘어가는 댓글은 없어요!

      1. 제가 총 네 군데다 질문드렸는데 모두 답변해주셔서 정말 정말 감사해요!!
        그리고 NetxHack님 글이 유용한 정보도 많은데 특히 초보들도 어느정도 잘 이해할 수 있게 쓰여있어서 보는 재미가 쏠쏠해요ㅎㅎㅎㅎ
        좋은 글 써주심에 또 감사드립니다.
        그럼 편안한 밤 되세요:)

        1. 더 열심히 쉽게 쓰겠습니다. 감사합니다~

  5. 애플 OTP 기능이 자체적으로있는지 몰랐는데 대박!!!!! 저는 사파리에서 사이트 로그인할때만 가볍게 몇군데쓰기 때문에 완전 딱이네요 감사합니다 .

  6. 개인적으로 OTP서비스는 필요없고 장문의 비번이 더 강력하다고 생각합니다.

      1. OTP를 딱히 사용하지 않는 이유가 요즘 비번 탈취 공격모델 확인해보니 OTP를 쓰는게 의미없다고 보여서 그렇습니다. 비번을 장문으로 사이트마다 조금씩 변형해서 맞춘 뒤에 브라우저 내장 오토필 쓰는게 최고입니다. OTP 인증을 위한 기기가 급사하거나 계정 토큰에 문제가 생겼을때 OTP는 오히려 문제를 키우기도하고 번거롭습니다. 특히 저렇게 OTP에 취약점 터지면 골치 아파지고요. 사람마다 공격모델이 다르니 꼭 해야된다 하면 안된다라는건 없다고 봅니다. 해야할 사람은 해야겠으나 저는 개인적으로 굳이 할 이유가 없다고 저는 생각합니다. 탈취문제의 대부분이 ‘쉬운 비밀번호’가 늘 문제였습니다. OTP가 ‘쉬운 비밀번호’를 사용하는 사람에게는 든든한 보호막이지만 그 이외에 문제가 발생하면 늘 발목을 잡았거든요.

        1. 좋은 의견 감사합니다. 개인적으로 OTP 때문에 큰 일을 막을뻔 한적이 있어서 추천을 많이 드리고 있습니다. ㅎㅎ 비번을 모두 다르게 해야한다는 의견은 백번 옳습니다. 가장 기본중 기본이라고 생각해요!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다